Cómo realizar una evaluación de riesgo HIPAA

El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) requiere que las entidades de atención médica sigan la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 (HIPAA). Esta ley exige a las entidades de atención médica implementar políticas y procedimientos para proteger la privacidad y seguridad de la información de salud protegida (PHI) de los pacientes.

Un requisito fundamental es realizar evaluaciones de riesgo. Este artículo explica los requisitos de evaluación de riesgo de HIPAA y ofrece orientación sobre los pasos involucrados.

¿Qué es una evaluación de riesgo HIPAA?

HIPAA tiene dos componentes clave:

• Regla de Seguridad HIPAA (45 CFR Parte 160 y Subpartes A y C de la Parte 164) — Requiere que las entidades cubiertas protejan la ePHI utilizando las salvaguardias administrativas, físicas y técnicas apropiadas.
• Regla de Privacidad (45 CFR Parte 160 y Subpartes A y E de la Parte 164) — Regula quién puede acceder a la PHI, cómo se puede utilizar y cuándo se puede divulgar.

Una evaluación de riesgo de seguridad HIPAA es fundamental para cumplir con ambas normativas. Le ayuda a identificar riesgos potenciales y vulnerabilidades para la confidencialidad, disponibilidad e integridad de toda la PHI que su organización genera, recibe, retiene o transmite, y a implementar controles adecuados para mitigar esos riesgos.

¿Está mi organización obligada a realizar una evaluación de riesgo de HIPAA?

Las evaluaciones de riesgo HIPAA son obligatorias para cualquier entidad cubierta que genere, reciba, almacene o transmita PHI, como centros médicos y planes de salud. Los asociados de negocios, subcontratistas y proveedores que interactúan con cualquier ePHI también deben realizar evaluaciones de riesgo HIPAA.

Debe realizar evaluaciones de seguridad HIPAA al menos una vez al año, así como cada vez que se introduzcan nuevos métodos de trabajo, piezas de tecnología o actualizaciones significativas a los sistemas de TI existentes.

Las organizaciones cubiertas deben tomar el requisito de evaluación de riesgos de HIPAA seriamente. La Oficina de Derechos Civiles (OCR) puede aplicar multas de $100 a $50,000 por violación o por registro, hasta un máximo de $1.5 millones por año, por cada violación.

¿Cuáles son los pasos en una evaluación de riesgo HIPAA?

HIPAA does not prescribe a specific risk analysis methodology. Instead, organizations routinely refer to standards like NIST 800-30 for guidelines in order to achieve and maintain HIPAA compliance. NIST SP 800-30 defines standard risk assessment methodologies for evaluating the efficacy of security controls in information systems.

En general, realizar una evaluación de riesgo de HIPAA implica los siguientes nueve pasos:

Paso 1: Determine el alcance de su análisis de riesgo.

Primero, debe determinar el alcance de su análisis de riesgo. Un análisis de riesgo de HIPAA debe incluir el ePHI de su organización, independientemente de su origen, su ubicación o el medio electrónico utilizado para crearlo, recibirlo, mantenerlo o transmitirlo.

Además, el análisis debe cubrir todos los riesgos y vulnerabilidades “razonables” para la confidencialidad, integridad y disponibilidad de ese ePHI. “Razonable” significa cualquier amenaza a la HIPAA compliance que sea previsible, incluyendo actores externos malintencionados, internos maliciosos y errores humanos por falta de conocimiento o formación.

Paso 2: Recopilar datos.

A continuación, reúna información completa y precisa sobre el uso y divulgación de ePHI. Puede hacer esto mediante:

• Analizando el inventario de proyectos pasados y actuales
• Realizando entrevistas
• Revisando la documentación
• Utilizando otras técnicas de recolección de datos según sea necesario

Paso 3: Identificar amenazas y vulnerabilidades potenciales.

Luego analice las amenazas y vulnerabilidades para cada pieza de datos regulados. Incluya todas las amenazas razonablemente anticipadas.

Las amenazas identificadas deben incluir factores únicos para su entorno de seguridad. Por ejemplo, si utiliza Amazon Web Services (AWS) como su solución en la nube, debe identificar los riesgos de seguridad asociados con AWS.

Paso 4: Evalúe sus medidas de seguridad actuales.

Documente las salvaguardias y medidas que ya ha implementado para mitigar los riesgos a su ePHI. Asegúrese de incluir las siguientes medidas:

• Medidas técnicas como control de acceso, autenticación, cifrado, cierre de sesión automático, auditoría y otros controles de hardware y software.
• Medidas no técnicas, que son controles operativos y de gestión como políticas, procedimientos y medidas de seguridad física o ambiental.

Analice la configuración y uso de cada medida de seguridad para determinar su adecuación y eficacia. Esto le ayudará a reducir los riesgos asociados con cada medida de seguridad.

Paso 5: Determine la probabilidad de ocurrencia de la amenaza.

Evalúe la probabilidad de que una amenaza active o explote una vulnerabilidad específica, y evalúe cada combinación posible de amenaza y vulnerabilidad. Las estrategias comunes para expresar la probabilidad de ocurrencia incluyen el uso de categorías como Alta, Media y Baja, o la asignación de un peso numérico específico.

Paso 6: Determine el impacto potencial de cada ocurrencia de amenaza.

Detalle los posibles resultados de cada amenaza de datos, tales como:

• Acceso o divulgación no autorizados
• Pérdida o corrupción permanente
• Pérdida temporal o indisponibilidad
• Pérdida del flujo de efectivo financiero
• Pérdida de activos físicos

Estime y documente el impacto de cada resultado. Las medidas pueden ser cualitativas o cuantitativas.

Paso 7: Identificar el nivel de riesgo.

Analice los valores asignados a la probabilidad y el impacto de cada amenaza. Luego, asigne un nivel de riesgo basado en la probabilidad e impacto asignados.

Paso 8: Determine las medidas de seguridad apropiadas y finalice la documentación.

Identifique las posibles medidas de seguridad que podría utilizar para reducir cada riesgo a un nivel razonable. Considere la efectividad de la medida, los requisitos regulatorios en torno a la implementación y cualquier requisito de política y procedimiento organizacional. Recuerde documentar todos los hallazgos.

Paso 9: Revise y actualice periódicamente la evaluación de riesgos.

Finalmente, desarrolle una política que describa con qué frecuencia realizar evaluaciones de riesgo. Debería realizar una al menos anualmente. Además, debe actualizar la evaluación cuando algo cambie, como los sistemas de seguridad de su organización, los niveles de autoridad y riesgo, o las políticas. Registre cada cambio en el historial de revisiones al final de la evaluación.

Consejos para hacer que su evaluación de riesgo HIPAA sea exitosa

Las evaluaciones de riesgo HIPAA pueden ser difíciles de realizar, especialmente si se cuenta con un equipo pequeño y recursos limitados. Tenga en cuenta estos consejos al implementar evaluaciones de riesgo HIPAA:

• Elija a una persona encargada para liderar la evaluación.
• Comprenda que puede realizar la evaluación internamente o subcontratarla a un experto en HIPAA. Subcontratar la evaluación puede agilizar la realización de las tareas de análisis y planificación.
• Recuerde el propósito de la evaluación de riesgos HIPAA. No es una auditoría, sino que tiene como objetivo ayudarle a identificar, priorizar y mitigar los riesgos.
• Asegúrese de que su documentación cumpla con los estándares HIPAA. Registre todos los procedimientos y políticas, asegúrese de que sean precisos y hágales disponibles de manera centralizada.
• Recuerde que se requiere repetir el proceso de evaluación al menos anualmente.
• Tenga en cuenta los requisitos de notificación de HIPAA, como la regla de notificación de brechas. Esta regla exige que las organizaciones notifiquen al Secretario de HHS si una brecha afecta a 500 o más individuos.
• Proporcione a todos los miembros del personal capacitación sobre prácticas de cumplimiento de HIPAA y requisitos de notificación.

¿Cómo puede ayudar Netwrix?

Netwrix’s HIPAA compliance software helps you achieve and prove HIPAA compliance. In particular, it enables you to conduct the risk assessments required by HIPAA to protect against cybersecurity threats. For example, HIPAA requires organizations to assess the risks to their information systems and act on the findings, and the Netwrix solution empowers you to examine the configuration of your information systems and identify risks in account management, data governance and security permissions.

Even better, the HIPAA functionality of the Netwrix solution goes far beyond risk assessments. Critically, it lets you spot active threats in time to prevent security incidents, breaches and business disruptions. Plus, unlike many other audit tools, the Netwrix solution includes pre-built compliance reports matched to the requirements of HIPAA and other common mandates, saving significant time and effort during compliance preparation.

FAQ

¿Cuál es la diferencia entre un análisis de riesgo de seguridad HIPAA y una evaluación de cumplimiento HIPAA?

La evaluación de riesgos regular es uno de los requisitos del mandato HIPAA. Una evaluación de cumplimiento de HIPAA evalúa su adherencia a todos los requisitos de HIPAA.

¿Cuándo es necesario un análisis de riesgo de HIPAA?

Las evaluaciones de riesgo HIPAA son obligatorias para cualquier entidad que crea, recibe, transmite o almacena información de salud protegida (PHI), como planes de salud y centros médicos.

¿Con qué frecuencia debe revisar las evaluaciones de riesgo de HIPAA?

Aunque HIPAA no especifica con qué frecuencia debe realizar evaluaciones de riesgo de HIPAA, debe llevar a cabo evaluaciones de HIPAA al menos una vez al año, así como cada vez que introduzca nuevos métodos de trabajo, actualice sistemas informáticos existentes o agregue nuevas piezas de tecnología.